Cloud Computing: Sicherheit und Datenschutz - Alcatel-Lucent ...

stiftungaktuell.de

Cloud Computing: Sicherheit und Datenschutz - Alcatel-Lucent ...

Seite 20

Dies führt dazu, dass Cloud-Anbieter, die sich Datenschutzkontrollen entziehen wollen, gezielt Clouds

nutzen können. Dies gilt insbesondere für Verarbeitungen außerhalb der EU, da hier jede Kontrolle

von der vertraglichen Einräumung von Kontrollrechten durch die Cloud- und Ressourcenanbieter

abhängt, die vom Cloud-Nutzer durchgesetzt werden müsste, der in der Regel selbst kein Interesse an

der Datenschutzkontrolle hat.

3.1.2 Drittzugriff

Durch die Verlagerung des Ortes der Datenverarbeitung in einen anderen Staat ergibt sich, dass Dritte,

die keine Cloud-Anbieter sind, in diesem Staat möglicherweise tatsächlich und möglicherweise auch

auf rechtlicher Basis Zugriff auf diese Daten nehmen. Dies gilt vorrangig für die Behörden der inneren

Sicherheit, also Polizei, sonstige Strafverfolgungsbehörden, nationale Geheimdienste oder

Finanzbehörden. So gehört es beispielsweise zu den rechtlichen Aufgaben und Befugnissen vieler

nationaler Geheimdienste, für die heimischen Interessen Wirtschaftsspionage zu betreiben. Dies kann

in keinem Fall im Interesse des Cloud-Nutzers sein und sollte auch nicht in dem der Cloud-Anbieter

liegen, lässt sich aber rechtlich nicht und faktisch nur schwer verhindern.

Neben den klassischen Sicherheitsbehörden sind Finanzbehörden an Cloud-Daten interessiert, mit

denen sie z.B. über den Zugriff auf Bankdaten Erkenntnisse zur Steuerhinterziehung und zum

Steuerbetrug zu erlangen versuchen. Die Cloud kann eine weitere Informationsquelle beispielsweise

für Aufenthalts-, Asyl- und Einwanderungsbehörden sein, bei denen Erkenntnisse aus dem

Heimatstaat von hoher Relevanz sind.

Es ist nicht auszuschließen, dass das nationale Recht, etwa wegen eines völligen Fehlens von

Datenschutzrestriktionen, sogar den Zugriff durch private Dritte erlaubt. Je niedriger das

Datenschutzniveau in dem Staat ist, in dem die tatsächliche Datenverarbeitung stattfindet, desto größer

ist die Gefährdung der Betroffeneninteressen durch die Cloud-Datenverarbeitung.

Besonders problematisch wird es beim tatsächlichen und dem rechtlich erlaubten Zugriff, wenn eine

Datenverarbeitung in einem Staat erfolgt, in dem Datenschutz rechtlich keine Bedeutung hat, sondern

in dem zusätzlich bewusst und gezielt Menschenrechte ignoriert und in denen Menschen politisch,

wirtschaftlich, ethnisch oder aus anderen Gründen verfolgt werden. So können staatliche Zugriffe auf

Cloud-Rechner durch staatliche oder halbstaatliche Einrichtungen in Diktaturen wie z.B. dem Iran

oder China Informationen offenbaren, die zur Grundlage von weiterer Überwachung, Verfolgung,

Verhaftung, bis hin zur Tötung benutzt werden können.

Der legale Zugriff auf Cloud-Daten kann unter Umständen durch technische Vorkehrungen wie

Pseudonymisierung, Verschlüsselung oder durch sichere Virtualisierung verhindert werden. Das BSI

fordert, dass die Cloud-Anbieter offen legen müssen, an welchen Standorten die Daten und

Anwendungen gespeichert werden und wie der Zugriff durch Dritte geregelt ist [32]. Allerdings stellt

dies lediglich eine Forderung und noch keine gesetzliche Regelung dar.

Außerdem muss man berücksichtigen, dass in vielen Staaten rechtliche Regelungen existieren, mit

denen die Cloud-Anbieter unter Androhung staatlicher Sanktionen verpflichtet werden können,

Schutzvorkehrungen gegen unberechtigten Zugriff entweder völlig zu unterlassen oder auf behördliche

Aufforderung aufzuheben. So gibt es insbesondere im Sicherheitsbereich in fast allen Staaten

behördliche Befugnisse, technische Sicherungsvorkehrungen zu überwinden.

Je nach den vorgesehenen und umgesetzten Sicherheitsvorkehrungen besteht zudem ein Angriffsrisiko

durch unberechtigte Dritte auf die von Cloud-Nutzern verarbeiteten Daten. Soll der Cloud-Anbieter

alle Sicherheitsvorkehrungen und -bestimmungen selbst treffen, so verliert er beim Cloud Computing

regelmäßig völlig die Herrschaft über sie. Und das, obwohl Datensicherheit fast immer ein Bestandteil

des Serviceangebots ist. Denkbar sind Beeinträchtigungen sämtlicher Schutzziele technischorganisatorischer

Datensicherheitsmaßnahmen, also der Integrität, Verfügbarkeit, Vertraulichkeit, der

Transparenz für die Berechtigten oder der Unverknüpfbarkeit der verarbeiteten Daten.

Weitere Magazine dieses Users
Ähnliche Magazine